Kümenizdeki tüm düğümlere Apigee mTLS'yi yükledikten sonra
apigee-mtls
bileşenini yapılandırmalı ve başlatmalıdır. Bunu, yeni bir
sertifika/anahtar çiftinin güncellenmesini
yönetim makinenizdeki yapılandırma dosyasını seçin. Ardından
oluşturulan bu dosyaları ve yapılandırma dosyasını kümedeki tüm düğümlere gönderir ve yerel
apigee-mtls
bileşeni.
Apigee-mtls'i yapılandırma (ilk kurulumdan sonra)
Bu bölümde, Apigee mTLS'nin doğrudan ilk yükleme. Bir Apigee mTLS'nin mevcut kurulumu için bkz. Mevcut bir Apigee-mtls öğesini değiştirme yapılandırma.
Bu bölüm, tek bir veri merkezindeki yüklemeler için geçerlidir. Daha fazla bilgi için Apigee mTLS'yi yapılandırma hakkında daha fazla bilgi için bkz. Apigee mTLS için birden fazla veri merkezi yapılandırın.
apigee-mtls
yapılandırmasıyla ilgili genel süreç aşağıdaki gibidir:
- Yapılandırma dosyanızı güncelleme:
yönetim makinesinden,
apigee-mtls
Ayarlar'da devre dışı bırakabilirsiniz. - Consul'u yükleme ve kimlik bilgileri oluşturma: Yükleme
Consul ve (isteğe bağlı olarak) TLS kimlik bilgileri oluşturmak için bunu kullanır (yalnızca bir kez).
Ayrıca, Apigee mTLS yapılandırma dosyanızı şu şekilde düzenleyin:
- Kimlik bilgisi bilgilerini ekleyin
- Kümenin topolojisini tanımlama
Mevcut kimlik bilgilerinizi veya Consul ile üretin.
- Kimlik bilgilerini ve yapılandırma dosyasını dağıtın: Oluşturulan aynı sertifikayı/anahtar çiftini ve güncellenmiş yapılandırma dosyasını tüm düğümlere dağıtın kullanabilirsiniz.
- Apigee-mtls ilk kullanıma hazır:
Her düğümde
apigee-mtls
bileşeni.
Bu adımların her biri sonraki bölümlerde açıklanmıştır.
1. Adım: Yapılandırma dosyanızı güncelleyin
Bu bölümde, yapılandırma dosyanızı mTLS yapılandırmasını içerecek şekilde nasıl değiştireceğiniz açıklanmaktadır özellikler. Yapılandırma dosyası hakkında daha fazla genel bilgi için Yapılandırma oluşturma dosyası olarak adlandırılır.
Yapılandırma dosyanızı mTLS ile ilgili özelliklerle güncelledikten sonra kopyalayın.
bu düğümlerde apigee-mtls
bileşenini başlatmadan önce
düğüm.
Yapılandırma dosyasını güncellemek için:
- Yönetim makinenizde, düzenlemek için yapılandırma dosyasını açın.
- Aşağıdaki mTLS yapılandırma özellikleri grubunu kopyalayıp yapılandırmaya yapıştırın
dosya:
ALL_IP="ALL_PRIVATE_IPS_IN_CLUSTER" ZK_MTLS_HOSTS="ZOOKEEPER_PRIVATE_IPS" CASS_MTLS_HOSTS="CASSANDRA_PRIVATE_IPS" PG_MTLS_HOSTS="POSTGRES_PRIVATE_IPS" RT_MTLS_HOSTS="ROUTER_PRIVATE_IPS" MS_MTLS_HOSTS="MGMT_SERVER_PRIVATE_IPS" MP_MTLS_HOSTS="MESSAGE_PROCESSOR_PRIVATE_IPS" QP_MTLS_HOSTS="QPID_PRIVATE_IPS" LDAP_MTLS_HOSTS="OPENLDAP_PRIVATE_IPS" MTLS_ENCAPSULATE_LDAP="y" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="BASE64_GOSSIP_MESSAGE" PATH_TO_CA_CERT="PATH/TO/consul-agent-ca.pem" PATH_TO_CA_KEY="PATH/TO/consul-agent-ca-key.pem" APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR="NUMBER_OF_DAYS"
Her özelliğin değerini yapılandırmanıza uygun şekilde ayarlayın.
Aşağıdaki tabloda bu yapılandırma özellikleri açıklanmaktadır:
Özellik Açıklama ALL_IP
Kümedeki tüm düğümlerin özel ana makine IP adreslerinin boşlukla ayrılmış listesi. IP adreslerinin sırası önemli değildir, yalnızca tüm noktalarda aynı olmalıdır yapılandırma dosyası hazırlar.
Apigee mTLS'yi birden fazla veri merkezi için yapılandırırsanız Tüm bölgelerdeki tüm ana makineler için tüm IP adresleri.
LDAP_MTLS_HOSTS
Kümedeki OpenLDAP düğümünün özel ana makine IP adresi. ZK_MTLS_HOSTS
ZooKeeper düğümlerinin barındırıldığı özel ana makine IP adreslerinin boşlukla ayrılmış listesi var.
Şartlara bağlı olarak en az üç ZooKeeper düğümü olmalıdır.
CASS_MTLS_HOSTS
Cassandra sunucularının barındırıldığı özel ana makine IP adreslerinin boşlukla ayrılmış listesi var. PG_MTLS_HOSTS
Postgres sunucularının barındırıldığı özel ana makine IP adreslerinin boşlukla ayrılmış listesi var. RT_MTLS_HOSTS
Yönlendiricilerin kümesidir. MTLS_ENCAPSULATE_LDAP
İleti İşlemci ile LDAP sunucusu arasındaki LDAP trafiğini şifreler. Şu değere ayarla: y
MS_MTLS_HOSTS
Yönetim Sunucusu düğümlerinin bulunduğu özel ana makine IP adreslerinin boşlukla ayrılmış listesi veya kümede barındırılır. MP_MTLS_HOSTS
İleti İşleyenlerin, bulunduğu özel ana makine IP adreslerinin boşlukla ayrılmış listesi veya kümede barındırılır. QP_MTLS_HOSTS
Qpid sunucularının barındırıldığı özel ana makine IP adreslerinin boşlukla ayrılmış listesi görebilirsiniz. ENABLE_SIDECAR_PROXY
Cassandra ve Postgres'in hizmet ağından haberdar olması gerekip gerekmediğini belirler. Bu değeri "y" olarak ayarlamanız gerekir.
ENCRYPT_DATA
Consul tarafından kullanılan base64 kodlu şifreleme anahtarı. Bu anahtarı, consul keygen
komutunu 2. Adım: Consul'u yükleyin ve kimlik bilgileri oluşturun.Bu değer, kümenin tüm düğümlerinde aynı olmalıdır.
PATH_TO_CA_CERT
Sertifika dosyasının düğümdeki konumu. Bu dosyayı şurada oluşturdunuz: 2. Adım: Consul'u yükleyin ve kimlik bilgileri oluşturun. Bu konumun, kümedeki tüm düğümlerde aynı olması aynıdır.
Sertifika, X509v3 kodlu olmalıdır.
PATH_TO_CA_KEY
Anahtar dosyasının düğümdeki konumu. Bu dosyayı şurada oluşturdunuz: 2. Adım: Consul'u yükleyin ve kimlik bilgileri oluşturun. Bu konumun, kümedeki tüm düğümlerde aynı olması aynıdır.
Anahtar dosyası X509v3 olarak kodlanmış olmalıdır.
APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR
Sertifikanın kullanılabilir olduğu gün sayısı özel bir sertifika oluşturun.
Varsayılan değer 365'tir. Maksimum değer 7.865 gündür (5 yıl).
Apigee mTLS, yukarıda listelenen özelliklere ek olarak bazı ek özellikler de kullanır. çok veri merkezi yapılandırmasına yüklediğinizde. Daha fazla bilgi için bkz. Birden çok veri merkezi yapılandırma
ENABLE_SIDECAR_PROXY
değerinin "y" olarak ayarlandığından emin olun.- Ana makineyle ilgili mülklerde IP adreslerini güncelleyin. Şunu kullandığınızdan emin olun:
herkese açık değil, her düğüme atıfta bulunurken kullanılan gizli IP adresleri
IP adresleri.
Sonraki adımlarda,
ENCRYPT_DATA
,PATH_TO_CA_CERT
vePATH_TO_CA_KEY
. Google değerini henüz belirlememiştir.apigee-mtls
yapılandırma özelliklerini düzenlerken aşağıdakilere dikkat edin:- Tüm özellikler dizedir; tüm özelliklerin değerlerini tek veya çift değer olarak sarmalamanız gerekir alıntılar.
- Ana makineyle ilgili bir değerde birden fazla özel IP adresi varsa her IP adresini ayırın bir alanla birlikte.
- Ana makineyle ilgili tüm bilgiler için ana makine adlarını veya genel IP adreslerini değil, özel IP adreslerini kullanın yapılandırma dosyasındakiler.
- Bir mülk değerindeki IP adreslerinin sırası, tüm mülklerde aynı sırada olmalıdır yapılandırma dosyası hazırlar.
- Yapılandırma dosyasında yaptığınız değişiklikleri kaydedin.
2. Adım: Consul'u yükleyin ve kimlik bilgileri oluşturun
Bu bölümde, Consul'un nasıl yükleneceği ve Search Console tarafından kullanılan kimlik bilgilerinin nasıl oluşturulacağı açıklanmaktadır. mTLS özellikli bileşenler.
Kimlik bilgilerinizi oluşturmak için aşağıdaki yöntemlerden birini seçmeniz gerekir:
- (Önerilir) Consul'u kullanarak bu makalede açıklandığı şekilde kendi Sertifika Yetkilinizi (CA) oluşturun bölüm
- Apigee mTLS (gelişmiş) ile mevcut bir CA'nın kimlik bilgilerini kullanın
Kimlik bilgileri hakkında
Kimlik bilgileri şunlardan oluşur:
- Sertifika: TLS sertifikası
- Anahtar: TLS ortak anahtarı
- Dedikodu mesajı: Base-64 olarak kodlanmış şifreleme anahtarı
Bu dosyaların her biri için yalnızca bir kez tek bir sürüm oluşturursunuz. Ardından anahtarı ve sertifikayı kopyalayın. kümenizdeki tüm düğümlere ekleyin ve şifreleme anahtarını, bu tablodaki tüm düğümlere de kopyalarsınız.
Consul'un şifreleme uygulaması hakkında daha fazla bilgi için aşağıdaki konulara bakın:
Consul'u yükleyin ve kimlik bilgisi oluşturun
Apigee mTLS'nin kullandığı kimlik bilgilerini oluşturmak için Private Cloud kümenizdeki düğümler arasındaki güvenli iletişimin kimliğini doğrulamak için yerel bir Konsolosluk ikilisi . Bunun sonucunda, şu işlemi yapabilmeniz için Consul'u yönetim makinenize yüklemeniz gerekir: kullanır.
Consul'u yüklemek ve mTLS kimlik bilgileri oluşturmak için:
- Yönetim makinenize, HashiCorp web sitesi.
- İndirilen arşiv dosyasının içeriğini çıkarın. Örneğin, içeriklerini
/opt/consul/
- Yönetim makinenizde
şu komutu kullanın:
/opt/consul/consul tls ca create
Consul, sertifika/anahtar çifti oluşturan aşağıdaki dosyaları oluşturur:
consul-agent-ca.pem
(sertifika)consul-agent-ca-key.pem
(anahtar)
Sertifika ve anahtar dosyaları varsayılan olarak X509v3 olarak kodlanır.
Daha sonra bu dosyaları kümedeki tüm düğümlere kopyalayacaksınız. Ancak şu an için bu dosyaları yalnızca düğümlerde nereye yerleştireceğinize karar verin. Aynı her düğümdeki konumu da. Örneğin,
/opt/apigee/
. - Yapılandırma dosyasında
PATH_TO_CA_CERT
değerini şuna ayarlayın:consul-agent-ca.pem
dosyasını da düğüme kopyalarsınız. Örneğin:PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
PATH_TO_CA_KEY
değerini, kopyalayacağınız konuma ayarlayın Düğümdeconsul-agent-ca-key.pem
dosyası var. Örneğin:PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
- Aşağıdaki komutu çalıştırarak Consul için şifreleme anahtarı oluşturun:
/opt/consul/consul keygen
Konsol, aşağıdakine benzer rastgele bir dize üretir:
QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=
- Oluşturulan bu dizeyi kopyalayıp
ENCRYPT_DATA
özelliğinin değeri olarak ayarlayın yapılandırma dosyanıza ekleyin. Örneğin:ENCRYPT_DATA="
QbhgD+EXAMPLE+Y9u0742X
/IqX3X429/x1cIQ+JsQvY=" - Yapılandırma dosyanızı kaydedin.
Aşağıdaki örnekte, bir yapılandırma dosyasındaki mTLS ile ilgili ayarlar (örneğin, değerler):
... IP1=10.126.0.121 IP2=10.126.0.124 IP3=10.126.0.125 IP4=10.126.0.127 IP5=10.126.0.130 ALL_IP="$IP1 $IP2 $IP3 $IP4 $IP5" LDAP_MTLS_HOSTS="$IP3" ZK_MTLS_HOSTS="$IP3 $IP4 $IP5" CASS_MTLS_HOSTS="$IP3 $IP4 $IP5" PG_MTLS_HOSTS="$IP2 $IP1" RT_MTLS_HOSTS="$IP4 $IP5" MS_MTLS_HOSTS="$IP3" MP_MTLS_HOSTS="$IP4 $IP5" QP_MTLS_HOSTS="$IP2 $IP1" ENABLE_SIDECAR_PROXY="y" ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=" PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem" PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem" ...
3. Adım: Yapılandırma dosyasını ve kimlik bilgilerini dağıtın
scp
gibi bir araç kullanarak aşağıdaki dosyaları tüm düğümlere kopyalayın:
- Yapılandırma dosyası: Bu dosyanın güncellenmiş sürümünü kopyalayın ve tüm düğümlerde mevcut olan sürümü (yalnızca ZooKeeper'ı çalıştıran düğümlerde değil).
- consul-agent-ca.pem: Kodun değeri olarak belirttiğiniz konuma kopyalayın.
PATH_TO_CA_CERT
. - consul-agent-ca-key.pem: Kodun değeri olarak belirttiğiniz konuma kopyalayın.
PATH_TO_CA_KEY
.
Sertifikayı ve anahtar dosyalarını kopyaladığınız konumların belirlediğiniz değerlerle eşleştiğinden emin olun 2. Adım: Console'u yükleyin ve kimlik bilgileri ekleyin.
4. Adım: Apigee-mtls'i ilk kullanıma hazırlayın
Her düğüme apigee-mtls
yüklendikten, yapılandırma dosyanızı güncelledikten ve
kimlik bilgilerini kümedeki tüm düğümlere kopyalarsanız, ilk kullanıma
Her düğümde apigee-mtls
bileşeni.
Apigee-mtls'i ilk kullanıma hazırlamak için:
- Kümedeki bir düğüme kök kullanıcı olarak giriş yapın. Bu adımları, istediğiniz sıraya ekleyin.
apigee:apigee
kullanıcısını güncellenen yapılandırma dosyasının sahibi yapın. aşağıdaki örnek gösterilmektedir:chown apigee:apigee config_file
- Aşağıdaki komutu çalıştırarak
apigee-mtls
bileşenini yapılandırın:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f config_file
- (İsteğe bağlı) Kurulumunuzun başarılı olduğunu doğrulamak için aşağıdaki komutu yürütün:
/opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
- Aşağıdaki komutu çalıştırarak Apigee mTLS'yi başlatın:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls start
Apigee mTLS'yi yükledikten sonra, bu bileşeni diğer nerede olduğunu anlayabilirsiniz.
- (Yalnızca Cassandra düğümleri) Cassandra'nın
güvenlik ağı. Sonuç olarak, her Cassandra düğümünde aşağıdaki komutları çalıştırmanız gerekir:
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra configure
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra restart
- (Yalnızca Postgres düğümleri) Postgres,
güvenlik ağı. Sonuç olarak, Postgres düğümlerinde aşağıdakileri yapmanız gerekir:
(Yalnızca birincil)
- Postgres birincil düğümünde aşağıdaki komutları yürütün:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
(Yalnızca bekleme modunda)
- Mevcut Postgres verilerinizi yedekleyin. Apigee mTLS'yi yüklemek için şunu yeniden başlatmanız gerekir: birincil/beklemedeki düğümler olduğu için veri kaybı olacaktır. Daha fazla bilgi için bkz. Şunun için birincil/beklemedeki replikayı ayarlayın: Postgre'ler.
- Tüm Postgres verilerini silin:
rm -rf /opt/apigee/data/apigee-postgresql/pgdata
- Postgres'i yapılandırın ve ardından aşağıdaki örnekte gösterildiği gibi Postgres'i yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
Çoklu veri merkezi topolojisine yükleme yapıyorsanız yapılandırma dosyası.
- Postgres birincil düğümünde aşağıdaki komutları yürütün:
- Düğümdeki kalan Apigee bileşenlerini
başlangıç siparişi,
aşağıdaki örnek gösterilmektedir:
/opt/apigee/apigee-service/bin/apigee-service component_name start
- Kümedeki her düğüm için bu işlemi tekrarlayın.
- (İsteğe bağlı) Bir tane kullanarak
apigee-mtls
başlatma işleminin başarılı olduğunu doğrulayın veya daha fazla yöntemi kullanabilirsiniz:- iptables yapılandırmasını doğrulama
- Uzak proxy durumunu doğrula
- Çoğunluk durumunu doğrulama
Bu yöntemlerin her biri yapılandırma hakkında daha fazla bilgi edinin.
Mevcut Apigee-mtls yapılandırmasını değiştirme
Mevcut bir apigee-mtls
yapılandırmasını özelleştirmek için uygulamanın yüklemesini kaldırmalı ve
apigee-mtls
uygulamasını yeniden yükle. Ayrıca özelleştirmenizi tüm reklam gruplarına
düğüm.
Bu noktayı hatırlatmak gerekirse, mevcut bir Apigee mTLS yapılandırmasını değiştirirken:
- Bir yapılandırma dosyasını değiştirirseniz önce
apigee-mtls
yüklemesini kaldırmanız vesetup
veyaconfigure
öğesini yeniden çalıştırın:# DO THIS:
/opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
# BEFORE YOU DO THIS:/opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f file
OR/opt/apigee/apigee-service/bin/apigee-service apigee-mtls configure
- Şuradaki tüm düğümlerde
setup
veyaconfigure
uygulamasını kaldırıp yeniden çalıştırmanız gerekir: tek bir düğümden oluşmasını sağlar.